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(54) Title: METHOD AND DEVICE FOR PROCESSING DATA 

(54) Bezeichnung: VERFAHREN UND VORRICHTUNG ZUM VERARBEITEN VON DATEN 
(57) Abstract 

The invention relates to a method for encoding 
and/or decoding data, according to which the data are 
designated for encoding or decoding in an encoding or 
decoding step which is chosen from several alternative, 
equivalent encoding or decoding steps and/or consists 
of several partial encoding or decoding steps to be 
processed sequentially. The selected encoding or 
decoding step is chosen randomly and/or the encoding 
or decoding steps are modified randomly. 

(57) Zusammenfassung 

Es ist ein Verfahren zum Verschlusseln 
und/oder Entschliisseln von Daten, bei dem die 
Daten fUr ein Verschlusseln oder EntschlUsseln in 
einem Verschlusselungs- oder Entschliisselungsschritt 
vorgesehen werden, der aus mehreren al- 
temativen gleichwertigen Verschlusselungs- 
oder Entschlusselungsschritten ausgewahlt ist, 
und/oder aus mehreren sequentiell abzuarbeitenden 
Verschlusselungs- oder EntschlOsselungsteilschritten 
besteht, wobei der ausgewahlte Verschlusselungs- 
oder Entschlusselungsschritt zufallig ausgewahlt 
ist und/oder die Verschlusselungs- oder 
Entschlilsselungsschritte zufallig verSndert sind, 
vorgesehen. 
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Beschreibung 

Verfahren unci Vorrichtung zum Verarbeiten von Daten 

Die Erfindung betrifft ein Verfahren bzw. eine Vorrichtung 
zum Verarbeiten von Daten. Im Rahmen ublicher Datenverarbei- 
tung werden heutzutage zunehmend Sicherheitsaspekte relevant, 
da zunehmend versucht wird, unerlaubt Daten aus Datenverar- 
beitungsanlagen zu erhalten. Urn die zu verhindern werden zu- 
nehmend kryptographische Verfahren angewandt, bei denen zu 
schiitzende Daten verschliisselt werden. Hierzu wird unter an- 
derem beispielsweise das "Public-Key-Verf ahren" verwendet, 
bei dem jeder Teilnehmer eines Systems ein Schlusselpaar be- 
sitzt, das aus einem geheimen Schlusselteil und einem offent- 
lichen Schlusselteil besteht. Die Sicherheit der Teilnehmer 
beruht nun darauf, daft der geheime Schlusselteil Unbefugten 
nicht bekannt ist. Die Ausfiihrung eines derartigen Verfahrens 
geschieht haufig in einer besonders gesicherten Komponente, 
wie beispielsweise einer Chipkarte aber auch in einem einmal 
in ein Gerat eingesetzten elektronischen Schaltkreis - auch 
als IC bekannt -, in denen dann das Verfahren selbst reali- 
siert ist. Somit braucht der geheime Teil des Schlussels die- 
se gesicherte Komponente nicht zu verlassen. 

Neuerdings sind jedoch Angriffe bekannt geworden, bei denen 
versucht wird, den Schlussel in der gesicherten Komponente 
auszuspahen. Dies soli beispielsweise durch Messung des 
Stromverbrauchs der gesicherten Komponente ermoglicht werden. 
Durch das haufig wiederholte Beobachten des Stromverlauf s und 
bei dem Bekannt sein wie der Verschlusselungsvorgang durch^e- 
fuhrt ist, ist es schlieMich moglich, Ruckschlusse auf den 
Schlussel zu Ziehen. 

Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren 
zum Verschliisseln bzw. eine Vorrichtung vorzusehen, bei der 
eine erhohte Sicherheit vor dem Ausspahen eines geheimen 
Schllisselwortes gegeben ist. 
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Diese Aufgabe wird erf indungsgemaft mit den Malinahmen bzw. 
Mitteln gemali Patentanspruch 1 bzw. Patentanspruch 3 gelost. 

5 Dadurch, dad Verschliisselungs- bzw. Entschlusselungsverf ahren 
so gesteuert bzw. Operationen begleitend zu diesem Verfahren 
gesteuert werden, daft sich auch bei einer haufig wiederholten 
Messung von von auften zuganglichen Parametern, wie beispiels- 
weise dem Stromverbrauch, keine Ruckschlusse auf den verwen- 
10 deten Schliissel Ziehen lassen. 

Weitere vorteilhafte Ausgestaltungen der Erfindung sind in 
den Unteranspruchen angegeben. Nachfolgend wird die Erfindung 
unter Bezugnahme auf die Zeichnung anhand von Ausf iihrungsbei- 
15 spielen erlautert. 



Hierbei zeigen: 

Fig. 1 ein erstes Ausf uhrungsbeispiel einer erf indungsgema- 
20 lien Vorrichtung, 



Fig. 2 ein zweites Ausf uhrungsbeispiel einer erf indungsgema- 
flen Vorrichtung, anhand der auch das erf indungsgemaBe 
Verfahren erlautert wird und 

25 

Fig. 3 ein drittes Ausf uhrungsbeispiel 



Mit 1, 2 ist eine zu schutzende Schaltung, die beispielsweise 
aus einem Mikrocontroler 2 und einem Rechenwerk 1 besteht, 

30 bezeichnet. Der Mikrocontroler 2 steuert dabei das Rechenwerk 
I, in dem beispielsweise ein. Verschlusselungsvorgang durchge- 
fuhrt.wird. Dieser zu schiitzenden Anordnung wird nunmehr ein 
Strom I zugefiihrt, der mittels einer MeBeinrichtung 7 detek- 
tierbar ist, wodurch Ruckschlusse auf die Vorgange in der zu 

35 schutzenden Schaltung 1, 2 gezogen werden sollen. Es ist nun- 
mehr eine zusatzliche Schaltungseinrichtung 6 vorgesehen, die 
uber einen Zuf allsgenerator 3 gesteuert wird. Dieser Zufalls- 
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generator kann beispielsweise als ein Sequenzgenerator in 
Form eines linear riickgekoppelten Schieberegisters ausgef iihrt 
sein, welches mit einem Startwert geladen, eine pseudozufal- 
lige Folge - Nullen und Einsen - erzeugt. Hierbei kann der 
5 Startwert entweder zufallig erzeugt sein oder von der Steuer- 
einrichtung beispielsweise auf Basis des Schlusselwortes ge- 
neriert werden, auch ist eine Kombination beider Moglichkei- 
ten denkbar. Die somit vom Zuf allsgenerator erzeugte Sequenz 
steuert nunmehr Schalter S in der zusatzlichen Schaltungsein- 

10 richtung 6, so dafi Kondensatoren, die mit den Schaltern S in 
Reihe liegen, entsprechend der jeweils gerade erzeugten Zu- 
fallsfolge geladen werden. Auf diese Weise wird der Stromver- 
brauch der zu schutzenden Schaltung 1, 2 durch die zusatzli- 
che Schaltungseinrichtung 6, namlich dem Ladestrom der Kon- 

15 densatoren, verschleiert . Urn den Gesamtstromverbrauch dieser 
Einrichtung zu minimieren, ist es nicht notwendig, daft die 
zusatzliche Schaltungseinrichtung 6 fortwahrend einen Beitrag 
zum Stromverbrauch liefert. Sie kann vielmehr darauf be- 
schrankt werden, nur in der Zeit wahrend des Verschlusselns 

20 bzw. Entschlusselns zu arbeiten. 

Fig. 2 zeigt ein weiteres erf indungsgemalies Ausf uhrungsbei- 
spiel. Hierbei liegt das Rechenwerk 1 und die Steuerungsein- 
richtung 2, der Zuf allsgenerator 3 und eine Speichereinrich- 

25 tung 5 an einem gemeinsamen Bus 4, der von extern mittels ei- 
ner Schnittstelle 9 zuganglich ist. Uber die Schnittstelle 9 
werden beispielsweise zu verschliisselnde bzw. zu entschliis- 
selnde Daten zugefuhrt. In der Speichervorrichtung 5 ist ein 
geheimes Schlusselwort gespeichert, das gesteuert von der 

30 Steuereinrichtung 2 dem Rechenwerk 1 zugefuhrt wird, urn die 
uber die Schnittstelle 9 vom Datenbus zugefiihrten Daten zu 
verschlusseln bzw. zu entschliisseln. Der Zuf allsgenerator 3 
erzeugt nunmehr eine Zufallszahl, die der Steuereinrichtung 2 
zugefuhrt wird, die nunmehr auf Grundlage dieser Zufallszahl 

35 das Rechenwerk 1 steuert. Hierbei sind nunmehr zwei Moglich- 
keiten denkbar. 
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Das Rechenwerk 1 wird auf Grundlage der Zufallszahl durch die 
Steuereinrichtung 2 so gesteuert, daft der Verschlusselungs- 
oder Entschlusselungsalgorithmus der jeweiligen Zufallszahl 
entsprechend moduliert wird. Das bedeutet, es erfolgen somit 
5 im Verschllisselungs- bzw. Entschlusselungsalgorithmus Re- 
chenoperartionen, die ohne abschlieftende Auswirkung auf die 
Verschlusselung bzw. Entschliisselung, mit zufalligen Werten 
arbeiten. 

10 Nachfolgend werden Beispiele fur die Variationen des Ver- 
schllisselungs- bzw. Entschlusselungsalgorithmus beschrieben. 

Ein bekanntes Verfahren ist das sogenannte RSA-Verf ahren . Es 
arbeitet in der Gruppe teile fremder Restklassen modulo N und 

15 setzt die Exponentiationen aus Multiplikationen modulo N zu- 
sammen. Die Varianten dieser Protokolle fur elliptische Kur- 
ven modulo p besitzen aus modularen Additionen und Multipli- 
kationen zusammengesetzte Grundoperationen, sogenannte Addi- 
tionen und Verdoppelungen in der Punktgruppe der elliptischen 

20 Kurven, die ihrerseits zur Exponentiation zusammengeset zt 

werden. Die dritte grofte Gruppe besteht aus elliptischen Kur- 
ven uber endlichen Korpern, deren Elementezahlen eine Prim- 
zahlpotenz, die haufig eine Potenz von 2 ist. Diese Struktu- 
ren werden gemeinhin als GF(p n ) bezeichnet. Die Basisarithme- 

25 tik in diesen Korpern kann durchgefuhrt werden, indem man die 
Korperelemente als Polynome mit Koef f izienten aus dem Grund- 
korper GF(p) oder einem geeigneten Zwischenkorper darstellt, 
die durch Multiplikationen modulo einem festen Korperpolynom 
miteinander verkniipft sowie koef f izientenweise addiert wer- 

30 den. Indiesem Sinne lassen sich Operationen in GF(p n ) bzw. 
in elliptischen Kurven uber diesen Korper als modulare Re- 
chenoperation auffassen. Dabei sind die nachf olgenden drei, 
dem erf indungsgemaften Verfahren entsprechende Variationsmog- 
lichkeiten moglich. 

35 

a) Der Modul N wird durch r*N ersetzt, wobei r eine von 0 
verschiedene Zufallszahl ist. Im GF(p n )-Fall wird das Kor- 
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perpolynom durch sein Produkt mit einem zufallig gewahlten 
von 0 verschiedenen Polynom ersetzt. Dieser Schritt ist vor 
Eintritt in die Rechnung Oder einem Teilschritt durchzufiih- 
ren und nachfolgend durch eine Reduktion des Ergebnisses 
bzw. Teilergebnis modulo N zu kompensieren . 

b) Ein Eingangsparameter X einer modularen Rechenoperation 
wird durch den Wert X + s*N ersetzt, wobei s eine Zufalls- 
zahl ist. Dies kann in verschiedenen Rechenschritten durch- 
gefiihrt werden. Auch eine entsprechende Veranderung mehre- 
rer Eingangsparameter der selben Operation ist moglich. 

c) Die Exponenten E werden durch E + t*q ersetzt, wobei t ei- 
ne Zufallszahl und q die sogenannte Ordnung der Basis der 
auszuf uhrenden Exponentiation, oder ein geeignetes Vielfa- 
ches davon, ist. Potentielle Werte von q lassen sich haufig 
aus den Systemparametern ableiten. So kann man fur die Ex- 
ponentiation modulo N q=q> (N) und fur elektrische Kurven q 
als die Anzahl der Punkte dieser Kurve wahlen, wobei haufig 
noch bessere Wahlmoglichkeiten gegeben sind. 

Eine weitere Moglichkeit besteht darin, daft alternative, 
gleichwertige Verschlusselungs- bzw. Entschlusselungsalgo- 
rithmen im Rechenwerk 1 durchfvihrbar sind, die gemafl der zu- 
gefuhrten Zufallszahl zufallig ausgewahlt werden. 

Bei der zuvor beschriebenen Modulation des Verschliisselungs- 
bzw. Entschlusselungsalgorithmus wird nicht nur der Stromver- 
brauch der Anordnung durch die Zufallszahl verandert, sondern 
ebenfalls die benotigte Rechenzeit. Auch diese kann als MeB- 
grofie Ruckschlusse auf den Geheimschlussel geben. Gleiches 
gilt fur die jzuf allsgesteuerte Auswahl der aquivalenten Re- 
chenoperationen . 

Eine dritte Moglichkeit ist darin zu sehen, dafi ahnlich dem 
Ausfiihrungsbeispiel nach Fig. 1 eine zusatzliche Schaltungs- 
einheit 6 vorgesehen ist (gestrichelt dargestellt) , die eben- 
falls mit der Zuf uhreinrichtung 4 verbunden' ist. Die Steuer- 
einrichtung 2 steuert nunmehr die zusatzliche Schaltungsein- 
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richtung 6 gemaft einer vom Zuf allsgenerator 3 iiber die Zufiih- 
reinrichtung 4 zugefiihrten Zufallszahl. Eine Anlayse des 
Stromverbrauchs der dargestellten Gesamtanordnung ist somit 
nicht durch den Betrieb im Rechenwerk 1 allein bestimmt son- 
5 de.rn ebenfalls durch einen zufallig gesteuerten Stromver- 
brauch der zusatzlichen Schaltungseinheit . 

Zusatzlich sei darauf hingewiesen, daft auch die Kombination 
von Modulation des jeweiligen Algorithmus mit einer zusatzli- 
10 chen Schaltungseinheit 6 im "Dummy-Betrieb" sinnvoll ist. 

Fig. 3 zeigt ein drittes erf indungsgemaftes Ausf iihrungsbei- 
spiel. Hierbei wird der Steuereinrichtung 2, in Form einer 
CPU iiber Datenanschlufi D Daten zugefuhrt. Gleichzeitig wird 

15 der "Wait-State-Anschlufi" WS mit einem Zuf allsgenerator 3 

verbunden. Dieser Zuf allsgenerator 3 erzeugt nunmehr in zu- 
falliger Folge "Einsen" "Nullen", Entsprechend der Program- 
mierung wird nunmehr immer dann wenn eine "1" oder "0" am 
Eingang anliegt, der Betrieb der CPU gestoppt oder wieder 

20 aufgenommen. Dies fuhrt dazu, daft der Betrieb der CPU zwar 
noch synchron zu einem nicht dargestellten Taktgenerator ar- 
beitet, jedoch keine einheitlichen Verarbeitungszyklen mehr 
aufweist. Da auf diese Weise kein fester einheitlicher Rahmen 
mehr vorliegt, sind durch Beobachtung der CPU deren Arbeits- 

25 vorgange nicht mehr ohne weiteres nachvollziehbar und nur 
sehr erschwert analysierbar . Dies bedeutet, daft die in der 
CPU abzuarbeitenden Vorgange "verrauscht " sind. Urn die Hand-, 
habbarkeit einer solchen Anordnung zu steigern, kann der Zu- 
f allsgenerator 3 so programmiert werden, dafi festlegbar ist, 
"30 in welchem zeitlichen Rahmen eine Verarbeitung maximal ab- 

13uft. Dies ist unter anderem dafur notwendig, urn festzustel- 
len, ob das System insgesamt ausgef alien ist. 

Es erscheint besonders sinnvoll eine* Anordnung gemaft Fig. 3 
35 mit einer Anordnung gemaft Fig. 1 oder 2 oder mit beiden zu 

kombinieren um somit beispielsweise die Analyse der Bearbei- 
tung eines Gesamtsystems zu erschweren. 
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Patentanspriiche 

1. Datenverarbeitungsverf ahren, bei dem in einer Verarbei- 
tungseinheit (1,2) tiber eine Datenleitung zugefuhrte Daten 
verarbeitet werden, ein Zusatzsignal der Verarbeitungseinheit 
zugefuhrt wird, und bei dem die Verarbeitung in Abhangigkeit 
vom Zusatzsignal erfolgt. 

2. Datenverarbeitungsverf ahren nach Anspruch 1, bei dem das 
Zusatzsignal von einem Zuf allszahlgenerator gesteuert ist. 

3. Datenverarbeitungsverf ahren nach Anspruch 2, bei dem an 
einer geeigneten Stelle ein Operand mit einer Zufallszahl be- 
aufschlagt ist und an einer weiteren geeigneten Stelle ein 
entsprechender Kompensationsoperand mit der gleichen Zufalls- 
zahl beaufschlagt ist. 

4. Datenverarbeitungsverf ahren nach Anspruch 2, bei dem die 
Verarbeitung der Daten aus mehreren Einzelschritten zusammen- 
gesetzt ist, die aus mehreren Alternativen gleichwertigen 
Einzelschritten ausgewahlt sind, und/oder aus mehreren se- 
quentiell abzuarbeitenden veranderbaren Einzelschritten be- 
steht, wobei die Auswahl und/oder die Veranderungauf Grundla- 
ge des Zusat zsignals erfolgt. 

5. Vorrichtung zum Durchfuhren des Verfahrens nach Anspruch 
l f mit einer Recheneinrichtung (1), der Daten mittels einer 
Zuf uhrvorrichtung (4) zugefuhrt werden, und einem Zufallsge- 
nerator (3), und einer Steuervorrichtung (2), die die Rechen- 
einrichtung steuert, wobei ein Ausgangssignal des Zufallsge- 
nerators (3) die Steuereinrichtung (2) und/oder und die Re- 
cheneinrichtung (2) beeinflulit. 

6. Vorrichtung nach Anspruch 5, bei der mit der Steuerein- 
richtung (2) eine Hilf sschaltung (6) verbunden ist, die von 
der Steuereinrichtung (2) auf Basis des von dem Zuf allsgene-' 
rator (3) zugefuhrten Ausgangssignal gesteuert wird. 
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